Banking Apps…ups, wie konnte das denn passieren?

Ein Hack der Banking Apps zeigt, dass Aufrüstung nötig ist

Der größte anzumehmende Unfall bzw. Vorfall ist eingetreten. Wie die SZ gestern berichtete, sind mehr als 30 mobile Banking Apps, ganz bewusst gehackt worden. Fazit: Unsicher- und nicht nur Kontodaten konnten ausgelesen werden sondern in Einzelfällen waren sogar Transaktionen möglich. Ein digitales Aufrüsten ist nötig, bei den Banken selbst aber vor allem in der digitalen DNA und im Mind-Set.

Wie ein Hack an den Grundpfeilern rüttelt

Möglich wurde das durch ein von den Banken eingesetztes Verfahren zum Schutz der Banking-Apps. Diese wurden um gegen Angriffe geschützt zu werden “gehärtet”. Dienstleister war bei allen Fällen die Firma Promon. Die Sicherheitslücke wurde entdeckt und demonstriert von den beiden Sicherheitsforschern Vincent Haupert und Nicolas Schneider. Vincent Haupert ist Experte auf dem Gebiet und legte vor einem Jahr auch bei N26 einige Sicherheitslücken offen. Der aktuelle Hack scheint nicht in der Öffentlichkeit angekommen zu sein und Endkunden sind nach ersten Stellungnahmen der Banken nicht betroffen. So schreibt z.B. Fidor an seine Kunden:

“Uns sind bis heute keine Schadensfälle im Zusammenhang mit diesem Artikel bekannt. Als Kunde der Fidor Bank AG braucht ihr euch um euer Konto keine Sorgen zu machen.”

oder der BVR “Bislang sind der Deutschen Kreditwirtschaft noch keine derartigen technischen Angriffe gegen Banking-Apps in der Praxis und daraus resultierende Schadensfälle bekannt.” All das spielt aber am Ende des Tages keine Rolle, denn so oder so ist das Vertrauen in Banking Apps in den Grundpfeilern erschüttert und vor allem die etablierten Retailbanken dürften darunter am meisten leiden. Auch Banken dessen Lösung vom Hack nicht betroffen war. Der Nutzer weiß nur: Mobile Banking ist angreifbar bzw. das ist zumindest das, was hängen bleibt.

Dabei handelt es sich um ein generelles Problem in der ganzen Digitialisierungsdiskussion: Es fehlt die digitale DNA. Man verlässt sich auf Agenturen und Marketingaussagen. Im aktuellen Fall sollte für die nötige Sichertheit das aus Norwegen stammende Unternehmen Promon sorgen. Ein Unternehmen das bereits 2015 sich den ‚Sparkassen SMS-Hack‘ gefallen lassen musste. Eigene Penetration-Tests mit Profis wie z.B. Vincent Haupert scheinen von den betroffenen Banken wohl nicht durchgeführt worden sein. Vertrauen ist gut, Kontrolle ist besser – nicht so bei Comdirect, Commerzbank und Co. Stattdessen gelang es Vincent Haupert und Nicholas Schneider das Promon App Shield, Stück für Stück zu zerlegen. Da scheint es mit der inzwischen propagierten digitalen Kompetenz bei Banken nicht so weit her zu sein.

Auch die Aussage des Bafin-Leiter für IT-Sicherheit, Jens Obermöller, „Es ist schwer für einzelne Banken, diese Expertise im eigenen Haus aufzubauen.” kann man nur mit Kopfschütteln betrachten.

Banking heißt Vertrauen, Vertrauen heißt Sicherheit, Sicherheit heißt Experten. Bei jeder Öffnung der Banken wird der heilige Sicherheits-Gral rausgeholt aber nicht bei Banking-Apps. Eine gefährliche Einstellung in einer Zeit wo Mobile und Online-Banking die digitale Kopie der Filiale sind. Folgt man der Argumentation von Jens Obermöller soll man also allen Ernstes glauben, dass bei den knapp 5.000 Mitarbeitern der Finanzinformatik und den ca. 6.400 Mitarbeitern der Fiducia es nicht möglich ist so 4-5 Experten für den Bereich App-Sicherheit einzustellen? Insbesondere weil man wissen sollte, das in einer digitalisierten Welt die Banküberfälle nicht mehr nur in der Filiale stattfinden.

Fazit

Der Angriff auf die Apps zeigt ein grundlegendes Problem. Eine fehlverstande Sicht auf die Digitalisierung, Die Auswirkungen des Hacks sind, auch wenn kein Kundenschaden entstanden ist, enorm. Gerade die Nutzer, die solchen Lösungen skeptisch gegenüber stehen werden sich bestätigt fühlen. Digital afine Nutzer werden das vielleicht zum Anlass nehmen sich anderweitig zu orientieren. Zu einer Bank, die aus digitalen Gesichtspunkten auf den ersten Blick sicherer erscheint. Diese Nutzer gehen ohnehin nicht in eine Filiale und dementsprechend besteht das Sicherheitsbedürfnis gerade bei den digitalen Angeboten. Am Ende profitieren gerade Challengerbanken wie N26 von solchen Aktionen, weil dort ein digitales Verständnis herrscht welches man bei vielen Retailbanken vergebens sucht.